無檔案病毒發展與攻擊分析
2019.12.27
瀏覽數
221
壹、新聞重點
2019年12月10日iThome報導資訊安全公司K7 Computing研究人員發現無檔案攻擊程式在蘋果公司Mac作業系統執行,研判為北韓資助的拉撒路駭客組織(Lazarus group)研發的UnionCrypto木馬病毒。資訊安全機構VirusTotal研究,剛發現UnionCrypto時,Mac系統可使用的防毒軟體只有59種,僅2種可以偵測得到UnionCrypto,判斷其為可疑程式。
拉撒路利用JMTTrading 加密貨幣交易平台APP程式,將UnionCrypto採用「無檔案病毒」(Fileless Malware)技術植入APP程式,安裝APP程式後,讓APP程式與UnionCrypoTrader.dmg登錄開機指令集,首先經由Mac電腦開機程式UnionCrypoTrader.dmg在暫存記憶體中開啟執行Unioncrypto.pkg程式,啟動一個指令建立開機服務,產生unioncryptoupdater,用以開啟雙向後門,竊取電腦內資料,此種攻擊方式不具傳統電腦病毒覆寫硬碟檔案特性,致多數防毒軟體無法偵測,且每次開機均能重複感染程序,便能長期潛伏在Mac作業系統內。[1]
貳、安全意涵
一、無檔案攻擊模式難以偵測
「無檔案病毒」實際指的是有別於傳統病毒的攻擊模式,傳統病毒需要修改電腦硬碟內資料,寄宿在硬碟檔案內,才能啟動後門程式,建立網路聯外後門;「無檔案病毒」攻擊模式先利用電腦作業系統開機程序或部分合法軟體漏洞,將偽裝的惡意指令植入作業系統或合法軟體內,以合法程式掩護非法指令集,躲過傳統防毒軟體偵測病毒的方式,再透過特定的觸發機制,將木馬或勒索型病毒放入暫存記憶體執行,以開設網路聯外後門,行為人發現被資安攻擊後,因無實際硬碟檔案修改紀錄可循,難以研析回溯被攻擊的路徑與技術,只能被動於防火牆加入可疑IP位址,防止再次被攻擊,但是駭客可以通過更換IP位址持續進行攻擊,其特徵為「不具傳統病毒攻擊特徵,可躲避多數防毒軟體的偵測」、「幾乎無跡可循的攻擊模式」及「能長期潛伏系統內」等3種。
趨勢科技統計電腦病毒攻擊企業成功案例,77%以上都是採用「無檔案病毒」完成。「無檔案病毒」可透過感染文書處理軟體巨集範本、置換作業系統檔案、利用資料庫運作機制與通訊協定漏洞、藉由系統管理工具與合法軟體程式挾帶惡意程式、感染作業系統開機登錄檔及竄改作業系統工作排程器等方式於暫存記憶體執行後門程式;以UnionCrypto為例,就是利用作業系統內建的工作排程器,讓後門程式在特定的時間或條件下啟動,重複感染電腦,只要不清除原始病毒源與阻斷感染路徑,就能夠持續開啟聯外後門。[2]
「無檔案病毒」可利用的電腦作業系統機制與指令集種類繁多,攻擊模式與路徑推陳出新,難以有效偵測,即便發現遭受「無檔案病毒」的攻擊,也難以蒐集足夠的證據或資料研析回推其運作模式,可說是近年資訊安全防護的一大課題。
二、多國遭受「無檔案病毒」攻擊
2017年有40多個國家,超過140個組織與許多個人用戶遭受「無檔案病毒」攻擊,用以竊取資料、植入自毀性病毒勒索贖金、遠端遙控電腦進行虛擬貨幣挖礦及作為網路攻擊跳板;知名的案例是駭客利用「無檔案病毒」開啟銀行伺服器後門,遠端遙控俄羅斯境內自動提款機吐鈔80萬美元,且無法在伺服器主機內找到駭客植入病毒的證據,僅能在自動提款機上找到吐鈔的紀錄,在當時是非常少見且高明的攻擊技術。
2018年「無檔案病毒」攻擊次數較2017年提高56%,駭客主要利用微軟軟體的漏洞植入無檔案病毒,開啟聯外後門竊取資料與遠端遙控電腦進行虛擬貨幣挖礦,或是以自毀型病毒對公司行號勒索,顯示「無檔案病毒」技術已逐漸成熟普及,部分駭客組織也試圖以無檔案的方式向世界各國的特定目標發起攻擊。
2019年上半年趨勢公司統計「無檔案病毒」攻擊次數較2018年上半年提高256%,代表「無檔案病毒」攻擊方式已躍居主流,且防毒軟體仍無法有效偵測防護,需多重防護與交叉比對關聯資訊的方式,才能確定各類「無檔案病毒」確切的病毒源與感染方式。[3]
參、趨勢研判
一、「無檔案病毒」將提高資訊安全產業競爭門檻
由於「無檔案病毒」隱藏在系統的合法程式或指令集內,目前針對「無檔案病毒」攻擊的防護措施,除降低使用者權限、定時更新系統漏洞及培養良好的資訊安全觀念外,就是需安裝具網路與暫存記憶體監控掃描功能的防毒軟體,此防毒軟體須具備強大的雲端資料庫支援,以識別「無檔案病毒」的威脅。截至2019年12月23日為止,Mac系統已有31種防毒軟體可偵測UnionCrypoTrader.dmg為可疑檔案,但仍有28種防毒軟體無法偵測,[4] 可見未來隨著5G網路環境建置,各類資訊系統應運而生,軟體架構漸趨複雜化,防毒軟體偵測演算法進步的前提下,「無檔案病毒」攻擊模式也會越來越難預測,直接提高資訊安全產業競爭性,惟能與時俱進,即時偵測「無檔案病毒」威脅,及時阻斷刪除「無檔案病毒」的資訊安全公司,才能在未來的產業競爭中生存。
二、無檔案攻擊逐漸成為電腦病毒感染主要模式
無檔案攻擊模式從2017年開始聲名大噪,2018年開始大量出現,2019年利用無檔案模式攻擊次數仍呈飛躍性的成長,且各種資訊安全攻擊方式中,以無檔案攻擊模式成功比例最高,加上難有證據追溯病毒源頭,間接鼓勵各國駭客鑽研無檔案攻擊模式,甚至駭客將病毒植入華碩支援產品服務的雲端伺服器,藉由合法的華碩軟體更新程式,掩護病毒從雲端伺服器感染數以萬計的電腦,並在暫存記憶體執行惡意程式,開啟網路聯外後門,造成損失難以精算。
目前最新的無檔案攻擊模式仍是基於在暫存記憶體執行後門程式的方式進行攻擊,但是「無檔案病毒」為了因應現今防毒軟體針對性的偵測演算法,與定期更新的病毒碼,每間隔一段時間就會自行改變檔案名稱與型式規避偵測,甚至自行加密不讓防毒軟體進行分析,[5] 讓病毒源長期潛伏;可以想見無檔案攻擊模式會從現在二階段植入方式,未來逐步演變為多階段植入病毒與自行規避防毒軟體偵測的方式開啟網路後門,甚至針對智慧型手機系統進行攻擊。
[1]〈北韓駭客發展出Mac版無檔案攻擊程式手法〉,iThome,2019年12月10日,https://www.ithome.com.tw/news/134748;“Newly discovered Mac malware uses “fileless” technique to remain stealthy,” Ars TECHNICA, December 7, 2019, https://reurl.cc/EKM7G0 .
[2]〈無檔案惡意程式(Fileless Malware)五種運作方式〉,資安趨勢部落格,2019年2月22日,https://blog.trendmicro.com.tw/?p=58512;“What is fileless malware and how does it work?” Norton by Symantec, August 30, 2019, https://reurl.cc/Rdl4zr.
[3]〈無檔案惡意程式近期肆虐全球〉,行政院國家資通安全會報技術服務中心,2017年2月16日,https://reurl.cc/0z8z5k;〈什麼是無檔案病毒(Fileless Malware)攻擊?〉,資安趨勢部落格,2018年11月27日,https://blog.trendmicro.com.tw/?p=57676。〈俄羅斯駭客組織攻擊全球30國銀行掠財,台灣為亞洲首要目標〉,iThome,2019年8月22日,https://www.ithome.com.tw/news/132556;〈趨勢科技:2018上半年無檔案攻擊事件成長56%〉,資安趨勢部落格,2018年10月10日,https://reurl.cc/Rdldxn 。〈趨勢科技報告指出無檔案式威脅成長 265%〉,TrendMicro,2019年9月5日,https://reurl.cc/VavakN。
[4]“Anti-virus softwares be able to detect UnionCryptoTrader.dmg as threat page,” VirusTotal, https://reurl.cc/pDjd68;〈企業主機被攻擊不能做事,零產值損失難計算〉,TrendMicro,https://www.trendmicro.com/zh_tw/small-business/SMB_DeepSecurity.html。
[5]〈華碩遭駭 影響數百台電腦〉,《中國時報》,2019年3月27日,https://reurl.cc/rlj5qN;〈惡意程序Dexphot狡猾躲避偵測,8萬台Windows PC變比特幣挖礦機〉,《kknews》,2019年11月28日,https://kknews.cc/zh-tw/tech/gppbz6l.html。